Membuat dan mengelola domain Amazon OpenSearch Service - OpenSearch Layanan Amazon
Membuat domain OpenSearch LayananMengonfigurasi kebijakan aksesPengaturan klaster lanjutan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat dan mengelola domain Amazon OpenSearch Service

Bab ini menjelaskan cara membuat dan mengelola domain Amazon OpenSearch Service. Domain adalah padanan AWS-provisioned dari cluster open source. OpenSearch Saat Anda membuat domain, Anda menentukan pengaturan, jenis instans, jumlah instans, dan alokasi penyimpanan. Untuk informasi selengkapnya tentang cluster open source, lihat Membuat klaster dalam OpenSearch dokumentasi.

Berbeda dengan instruksi singkat di tutorial Memulai, Bab ini menjelaskan semua pilihan dan memberikan informasi referensi yang relevan. Anda dapat menyelesaikan setiap prosedur dengan menggunakan instruksi untuk konsol OpenSearch Layanan, AWS Command Line Interface (AWS CLI), atau AWS SDKs.

Membuat domain OpenSearch Layanan

Bagian ini menjelaskan cara membuat domain OpenSearch Layanan dengan menggunakan konsol OpenSearch Layanan atau dengan menggunakan create-domain perintah AWS CLI with.

Membuat domain OpenSearch Layanan (konsol)

Gunakan prosedur berikut untuk membuat domain OpenSearch Layanan dengan menggunakan konsol.

Untuk membuat domain OpenSearch Layanan (konsol)

  1. Buka https://aws.amazon.com.rproxy.govskope.cadan pilih Masuk ke Konsol.

  2. Di bawah Analytics, pilih OpenSearch Layanan Amazon.

  3. Pilih Create domain (Buat domain).

  4. Untuk nama domain, masukkan nama domain. Versi harus memenuhi kriteria berikut:

    • Unik untuk akun Anda dan Wilayah AWS

    • Dimulai dengan huruf kecil

    • Berisi antara 3 dan 28 karakter

    • Hanya berisi huruf kecil a-z, angka 0-9, dan tanda hubung (-)

  5. Untuk metode pembuatan domain, pilih Standard create.

  6. Untuk Template, pilih opsi yang paling sesuai dengan tujuan domain Anda:

    • Domain produksi untuk beban kerja yang membutuhkan ketersediaan dan kinerja tinggi. Domain ini menggunakan Multi-AZ (dengan atau tanpa siaga) dan simpul utama khusus untuk ketersediaan yang lebih tinggi.

    • Dev/test untuk pengembangan atau pengujian. Domain ini dapat menggunakan Multi-AZ (dengan atau tanpa siaga) atau satu Availability Zone.

      penting

      Jenis deployment yang berbeda menyajikan pilihan yang berbeda pada halaman berikutnya. Langkah-langkah ini mencakup semua opsi.

  7. Untuk Opsi Deployment, pilih Domain dengan standby untuk mengonfigurasi domain 3-AZ, dengan node di salah satu zona dicadangkan sebagai siaga. Opsi ini memberlakukan sejumlah praktik terbaik, seperti jumlah node data tertentu, jumlah node master, jenis instance, jumlah replika, dan pengaturan pembaruan perangkat lunak.

  8. Untuk Versi, pilih versi OpenSearch atau lama Elasticsearch OSS yang akan digunakan. Kami menyarankan Anda untuk memilih versi terbaru OpenSearch. Untuk informasi selengkapnya, lihat Versi Elasticsearch yang didukung dan OpenSearch.

    (Opsional) Jika Anda memilih OpenSearch versi untuk domain Anda, pilih Aktifkan mode kompatibilitas untuk membuat OpenSearch laporkan versinya sebagai 7.10, yang memungkinkan klien dan plugin OSS Elasticsearch tertentu yang memeriksa versi sebelum menghubungkan untuk terus bekerja dengan layanan.

  9. Untuk Tipe instans, pilih tipe instans untuk simpul data Anda. Untuk informasi selengkapnya, lihat Tipe instans yang didukung di Amazon OpenSearch Service.

    catatan

    Tidak semua Availability Zone mendukung semua tipe instans. Jika Anda memilih Multi-AZ dengan atau tanpa Standby, sebaiknya pilih tipe instans generasi arus, seperti R5 atau I3.

  10. Untuk Jumlah simpul, pilih jumlah simpul data.

    Untuk nilai maksimum, lihat Domain OpenSearch layanan dan kuota instance. Klaster simpul tunggal bisa saja untuk pengembangan dan pengujian, tetapi tidak boleh digunakan untuk beban kerja produksi. Untuk panduan lebih lanjut, lihat Mengukur domain Amazon OpenSearch Service dan Mengonfigurasi domain Multi-AZ di Amazon Service OpenSearch .

    catatan

    (Opsional) Node koordinator khusus mendukung semua OpenSearch versi dan ElasticSearch versi 6.8 hingga 7.10. Node koordinator khusus tersedia untuk digunakan dengan domain yang mengaktifkan pengelola klaster khusus. Untuk mengaktifkan node koordinator khusus, Anda akan memilih jenis dan hitungan instance. Sebagai praktik terbaik, Anda harus menjaga keluarga instans untuk node koordinator khusus Anda sama dengan node data Anda (instance berbasis Intel atau instance berbasis Graviton).

  11. Untuk jenis Penyimpanan, pilih Amazon EBS. Tipe volume yang tersedia di daftar tergantung pada tipe instans yang telah Anda pilih. Untuk panduan tentang cara membuat domain yang sangat besar, lihatSkala petabyte di Layanan Amazon OpenSearch .

  12. Untuk penyimpanan EBS, konfigurasikan pengaturan tambahan berikut. Beberapa pengaturan mungkin tidak muncul tergantung pada jenis volume yang Anda pilih.

    Pengaturan Deskripsi
    Jenis volume EBS

    Pilih antara General Purpose (SSD) - gp3 dan General Purpose (SSD) - gp2, atau IOPS Provisioned generasi sebelumnya (SSD), dan Magnetic (standar).
    Ukuran penyimpanan EBS per node

    Masukkan ukuran volume EBS yang ingin Anda lampirkan ke setiap simpul data.

    Ukuran volume EBS adalah per simpul. Anda dapat menghitung ukuran klaster total untuk domain OpenSearch Layananan dengan mengalikan jumlah simpul data dengan ukuran volume EBS. Ukuran minimum dan maksimum volume EBS tergantung pada tipe volume EBS yang ditentukan dan tipe instans yang dilampirkan. Untuk mempelajari selengkapnya, lihat Batas ukuran volume EBS.
    IOPS yang Tersedia

    Jika Anda memilih jenis volume IOPS SSD Terprovisi, masukkan jumlah operasi I/O per detik (IOPS) yang dapat didukung volume.

  13. (Opsional) Jika Anda memilih jenis gp3 volume, perluas Pengaturan lanjutan dan tentukan IOPS tambahan (hingga 16.000 untuk setiap ukuran volume 3 TiB yang disediakan per node data) dan throughput (hingga 1.000 MiB/s untuk setiap ukuran volume 3 TiB yang disediakan per node data) di luar yang disertakan dengan harga penyimpanan, dengan biaya tambahan. Untuk informasi selengkapnya, lihat Harga Amazon OpenSearch Service.

  14. (Opsional) Untuk mengaktifkan UltraWarm penyimpanan, pilih Aktifkan node UltraWarm data. Setiap tipe instans memiliki jumlah penyimpanan maksimum yang dapat diatasi. Kalikan jumlah itu dengan jumlah simpul data hangat untuk total penyimpanan hangat yang dapat dialamatkan.

  15. (Opsional) Untuk mengaktifkan Penyimpanan dingin, pilih Aktifkan penyimpanan dingin. Anda harus UltraWarm mengaktifkan penyimpanan dingin.

  16. Jika Anda menggunakan Multi-AZ dengan Standby, tiga node master khusus akan diaktifkan. Pilih tipe simpul utama yang Anda inginkan. Jika Anda memilih domain Multi-AZ tanpa Standby, pilih Aktifkan node master khusus dan pilih jenis dan jumlah node master yang Anda inginkan. Simpul utama khusus meningkatkan stabilitas klaster dan diperlukan untuk domain yang memiliki jumlah instans lebih dari 10. Kami merekomendasikan tiga simpul utama khusus untuk domain produksi.

    catatan

    Anda dapat memilih tipe instans yang berbeda untuk simpul utama dan simpul data khusus Anda. Misalnya, Anda dapat memilih instans tujuan umum atau penyimpanan yang dioptimalkan untuk node data Anda, tetapi contoh komputasi yang dioptimalkan untuk simpul utama khusus Anda.

  17. (Opsional) Untuk domain yang berjalan OpenSearch atau Elasticsearch 5.3 dan yang lebih baru, konfigurasi Snapshot tidak relevan. Untuk informasi lebih lanjut tentang snapshot otomatis, lihat Membuat snapshot indeks di Amazon Service OpenSearch .

  18. Jika Anda ingin menggunakan titik akhir kustom daripada yang standarhttps://search-mydomain-1a2a3a4a5a6a7a8a9a0a9a8a7a.us-east-1.es.amazonaws.com, pilih Aktifkan titik akhir kustom dan berikan nama dan sertifikat. Untuk informasi selengkapnya, lihat Membuat titik akhir kustom untuk Amazon Service OpenSearch .

  19. Di bawah Jaringan, pilih akses VPC atau Akses publik. Jika Anda memilih Akses publik, lewati ke langkah berikutnya. Jika Anda memilih akses VPC, pastikan Anda memenuhi prasyarat, lalu konfigurasikan pengaturan berikut:

    Pengaturan Deskripsi
    VPC

    Pilih ID Virtual Private Cloud (VPC) yang ingin Anda gunakan. VPC dan domain harus sama Wilayah AWS, dan Anda harus memilih VPC dengan penghunian yang diatur ke Default. OpenSearch Layanan belum mendukung VPCs yang menggunakan penghunian khusus.
    Subnet

    Pilih subnet. Jika Anda mengaktifkan Multi-AZ, Anda harus memilih dua atau tiga subnet. OpenSearch Layanan akan menempatkan VPC endpoint dan antarmuka jaringan elastis di subnet.

    Anda harus memesan alamat IP yang cukup untuk antarmuka jaringan di subnet. Untuk informasi selengkapnya, lihat Memesan alamat IP dalam subnet VPC.
    Grup keamanan

    Pilih satu atau lebih grup keamanan VPC yang memungkinkan aplikasi yang diperlukan untuk mencapai domain OpenSearch Layanan pada port (80 atau 443) dan protokol (HTTP atau HTTPS) yang terpapar oleh domain. Untuk informasi selengkapnya, lihat Meluncurkan domain OpenSearch Layanan Amazon Anda dalam VPC.
    Peran IAM

    Pertahankan peran default. OpenSearch Layanan menggunakan peran yang telah ditetapkan ini (juga dikenal sebagai peran yang terhubung dengan layanan) untuk mengakses VPC Anda dan menempatkan VPC endpoint dan antarmuka jaringan di subnet VPC. Untuk informasi selengkapnya, lihat Peran yang terhubung dengan layanan untuk akses VPC.
    Jenis Alamat IP

    Pilih tumpukan ganda atau IPv4 sebagai jenis alamat IP Anda. Dual stack memungkinkan Anda untuk berbagi sumber daya domain di seluruh IPv4 dan jenis IPv6 alamat, dan merupakan opsi yang disarankan. Jika Anda mengatur jenis alamat IP Anda ke tumpukan ganda, Anda tidak dapat mengubah jenis alamat Anda nanti.

  20. Mengaktifkan atau menonaktifkan kontrol akses detail:

    • Jika Anda ingin menggunakan IAM untuk manajemen pengguna, pilih Menetapkan IAM ARN sebagai pengguna utama dan tentukan ARN untuk IAM role.

    • Jika Anda ingin menggunakan basis data pengguna internal, pilih Membuat pengguna utama dan tentukan nama pengguna dan kata sandi.

    Apa pun pilihan yang Anda pilih, pengguna utama dapat mengakses semua indeks di klaster dan semuanya. OpenSearch APIs Untuk panduan pilihan mana yang harus dipilih, lihat Konsep utama.

    Jika Anda menonaktifkan kontrol akses detail, Anda masih dapat mengontrol akses ke domain Anda dengan menempatkannya dalam VPC, menerapkan kebijakan akses yang ketat, atau keduanya. Anda harus mengaktifkan node-to-node enkripsi dan enkripsi saat tidak digunakan untuk menggunakan kontrol akses detail.

    catatan

    Kami sangat menyarankan agar mengaktifkan kontrol akses detail untuk melindungi data di domain Anda. Kontrol akses detail menyediakan keamanan di tingkat klaster, indeks, dokumen, dan bidang.

  21. (Opsional) Jika Anda ingin menggunakan autentikasi SAMM untuk OpenSearch Dashboards, pilih Mengaktifkan autentikasi SAMM dan mengonfigurasi opsi SAFL untuk domain. Untuk petunjuk, lihat Autentikasi SAMP untuk Dashboard OpenSearch .

  22. (Opsional) Jika Anda ingin menggunakan autentikasi Amazon Cognito untuk OpenSearch Dashboard, pilih Mengaktifkan autentikasi Amazon Cognito. Kemudian pilih kolam pengguna dan kolam identitas Amazon Cognito yang ingin Anda gunakan untuk autentikasi OpenSearch Dasbor. Untuk panduan tentang membuat sumber daya ini, lihat Mengonfigurasi autentikasi Amazon Cognito untuk Dasbor OpenSearch.

  23. Untuk kebijakan Access, pilih kebijakan akses atau konfigurasikan kebijakan Anda sendiri. Jika Anda memilih untuk membuat kebijakan kustom, Anda dapat mengonfigurasinya sendiri atau mengimpornya dari domain lain. Untuk informasi selengkapnya, lihat Identity and Access Management di Amazon OpenSearch Service.

    catatan

    Jika Anda mengaktifkan akses VPC, Anda tidak dapat menggunakan kebijakan berbasis IP. Sebagai gantinya, Anda bisa menggunakan grup keamanan untuk mengontrol alamat IP yang dapat mengakses domain. Untuk informasi selengkapnya, lihat Tentang kebijakan akses pada domain VPC.

  24. (Opsional) Untuk mewajibkan semua permintaan ke domain tiba melalui HTTPS, pilih Wajibkan HTTPS untuk semua lalu lintas ke domain. Untuk mengaktifkan node-to-node enkripsi, pilih ode-to-nodeenkripsi N. Untuk informasi selengkapnya, lihat Node-to-node enkripsi untuk Amazon OpenSearch Service. Untuk mengaktifkan enkripsi data saat tidak digunakan, pilih Mengaktifkan enkripsi data saat tidak digunakan. Opsi ini telah dipilih sebelumnya jika Anda memilih opsi penyebaran Multi-AZ dengan Siaga.

  25. (Opsional) Pilih Gunakan kunci yang AWS dimiliki agar OpenSearch Layanan membuat kunci AWS KMS enkripsi atas nama Anda (atau menggunakan salah satu yang sudah dibuat). Jika tidak, pilih kunci KMS Anda sendiri. Untuk informasi selengkapnya, lihat Enkripsi data saat tidak digunakan untuk Amazon OpenSearch Service.

  26. Untuk jendela Off-peak, pilih waktu mulai untuk menjadwalkan pembaruan perangkat lunak layanan dan pengoptimalan Auto-Tune yang memerlukan penerapan biru/hijau. Pembaruan off-peak membantu meminimalkan ketegangan pada node master khusus cluster selama periode lalu lintas tinggi.

  27. Untuk Auto-Tune, pilih apakah akan mengizinkan OpenSearch Layanan menyarankan perubahan konfigurasi terkait memori ke domain Anda untuk meningkatkan kecepatan dan stabilitas. Untuk informasi selengkapnya, lihat Auto-Tune untuk Amazon Service OpenSearch .

    (Opsional) Pilih jendela Off-peak untuk menjadwalkan jendela berulang di mana Auto-Tune memperbarui domain.

  28. (Opsional) Pilih Pembaruan perangkat lunak otomatis untuk mengaktifkan pembaruan perangkat lunak otomatis.

  29. (Opsional) Tambahkan tag untuk menggambarkan domain Anda sehingga Anda dapat mengkategorikan dan mem-filter informasi tersebut. Untuk informasi selengkapnya, lihat Penandaan domain Amazon OpenSearch Service.

  30. (Opsional) Perluas dan konfigurasikan pengaturan cluster lanjutan. Untuk rangkuman opsi ini, lihat Pengaturan klaster lanjutan.

  31. Pilih Buat.

Membuat domain OpenSearch Layanan ()AWS CLI

Alih-alih membuat domain OpenSearch Layanan dengan menggunakan konsol, Anda dapat menggunakan AWS CLI. Untuk sintaks, lihat Amazon OpenSearch Service di Referensi perintah AWS CLI a.

Contoh perintah

Contoh pertama ini menunjukkan konfigurasi domain OpenSearch Layananan berikut:

  • Membuat domain OpenSearch Layanan bernama mylogs dengan OpenSearch versi 1.2

  • Mempopulasikan domain dengan dua instans dari tipe instans r6g.large.search

  • Menggunakan volume gp3 EBS Tujuan Umum (SSD) 100 GiB untuk penyimpanan setiap simpul data

  • Memungkinkan akses anonim, tetapi hanya dari satu alamat IP: 192.0.2.0/32

aws opensearch create-domain \
    --domain-name mylogs \
    --engine-version OpenSearch_1.2 \
    --cluster-config  InstanceType=r6g.large.search,InstanceCount=2 \
    --ebs-options EBSEnabled=true,VolumeType=gp3,VolumeSize=100,Iops=3500,Throughput=125 \
    --access-policies '{"Version": "2012-10-17", "Statement": [{"Action": "es:*", "Principal":"*","Effect": "Allow", "Condition": {"IpAddress":{"aws:SourceIp":["192.0.2.0/32"]}}}]}'

Contoh berikutnya menunjukkan konfigurasi domain OpenSearch Layananan berikut:

  • Membuat domain OpenSearch Layanan bernama mylogs dengan Elasticsearch versi 7.10

  • Mempopulasikan domain dengan enam instans dari tipe instans r6g.large.search

  • Menggunakan volume gp2 EBS Tujuan Umum (SSD) 100 GiB untuk penyimpanan setiap simpul data

  • Membatasi akses ke layanan untuk satu pengguna, diidentifikasi oleh Akun AWS ID pengguna: 55555555555555555555555555555555555555

  • Mendistribusikan beberapa instans di seluruh Availability Zone

aws opensearch create-domain \
    --domain-name mylogs \
    --engine-version Elasticsearch_7.10 \
    --cluster-config  InstanceType=r6g.large.search,InstanceCount=6,ZoneAwarenessEnabled=true,ZoneAwarenessConfig={AvailabilityZoneCount=3} \
    --ebs-options EBSEnabled=true,VolumeType=gp2,VolumeSize=100 \
    --access-policies '{"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:root" }, "Action":"es:*", "Resource": "arn:aws:es:us-east-1:555555555555:domain/mylogs/*" } ] }'

Contoh berikutnya menunjukkan konfigurasi domain OpenSearch Layananan berikut:

  • Membuat domain OpenSearch Layanan bernama mylogs dengan OpenSearch versi 1.0

  • Mempopulasikan domain dengan sepuluh instans dari tipe instans r6g.xlarge.search

  • Mempopulasikan domain dengan sepuluh instans dari tipe instans r6g.large.search untuk melayani sebagai simpul utama khusus

  • Menggunakan volume Provisioned IOPS EBS 100 GiB untuk penyimpanan, dikonfigurasi dengan performa dasar 1000 IOPS untuk setiap simpul data

  • Membatasi akses ke satu pengguna dan ke satu subsumber daya, API _search

aws opensearch create-domain \
    --domain-name mylogs \
    --engine-version OpenSearch_1.0 \
    --cluster-config  InstanceType=r6g.xlarge.search,InstanceCount=10,DedicatedMasterEnabled=true,DedicatedMasterType=r6g.large.search,DedicatedMasterCount=3 \
    --ebs-options EBSEnabled=true,VolumeType=io1,VolumeSize=100,Iops=1000 \
    --access-policies '{"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::555555555555:root" }, "Action": "es:*", "Resource": "arn:aws:es:us-east-1:555555555555:domain/mylogs/_search" } ] }'
catatan

Jika Anda mencoba untuk membuat domain OpenSearch Layanan dan domain dengan nama yang sama yang sudah ada, CLI tidak melaporkan kesalahan. Sebaliknya, CLI mengembalikan detail untuk domain yang ada.

Membuat domain OpenSearch Layanan ()AWS SDKs

AWS SDKs (kecuali Android dan iOS SDKs) mendukung semua tindakan yang ditentukan dalam Referensi API OpenSearch Layanan Amazon, termasukCreateDomain. Untuk kode sampel, lihat Menggunakan AWS SDKs untuk berinteraksi dengan Amazon OpenSearch Service. Untuk informasi selengkapnya tentang menginstal dan menggunakan AWS SDKs, lihat Kit Pengembangan AWS Perangkat Lunak.

Membuat domain OpenSearch Layanan ()AWS CloudFormation

OpenSearch Layanan terintegrasi dengan AWS CloudFormation, layanan yang membantu Anda membuat model dan mengatur AWS sumber daya sehingga Anda dapat menghemat waktu untuk membuat dan mengelola sumber daya dan infrastruktur Anda. Anda membuat templat yang menggambarkan OpenSearch domain yang ingin Anda buat, dan memasok CloudFormation persediaan dan mengonfigurasi domain untuk Anda. Untuk informasi selengkapnya, termasuk contoh templat JSON dan YAMM untuk OpenSearch domain, lihat Amazon OpenSearch Service referensi jenis sumber daya dalam Panduan Pengguna.AWS CloudFormation

Mengonfigurasi kebijakan akses

Amazon OpenSearch Service menawarkan beberapa cara untuk mengonfigurasi akses ke domain OpenSearch Layanan Anda. Untuk informasi selengkapnya, lihat Identity and Access Management di Amazon OpenSearch Service dan Kontrol akses detail di Amazon Service OpenSearch .

Konsol menyediakan kebijakan akses yang telah dikonfigurasi yang dapat Anda sesuaikan untuk kebutuhan spesifik domain Anda. Anda juga dapat mengimpor kebijakan akses dari domain OpenSearch Layananan lainnya. Untuk informasi tentang bagaimana kebijakan akses ini berinteraksi dengan akses VPC, lihat Tentang kebijakan akses pada domain VPC.

Untuk mengonfigurasi kebijakan akses (konsol)

  1. Buka https://aws.amazon.com, lalu pilih Masuk ke Konsol.

  2. Di bawah Analytics, pilih OpenSearch Layanan Amazon.

  3. Di panel navigasi, pada Domain, pilih domain yang ingin Anda perbarui.

  4. Pilih Tindakan dan Edit konfigurasi keamanan.

  5. Edit kebijakan akses JSON, atau impor opsi yang telah dikonfigurasikan.

  6. Pilih Simpan perubahan.

Pengaturan klaster lanjutan

Gunakan opsi lanjutan untuk mengonfigurasi berikut ini:

Indeks di badan permintaan

Menentukan apakah referensi eksplisit untuk indeks diperbolehkan di dalam isi permintaan HTTP. Mengatur properti ini ke false mencegah pengguna melewati kontrol akses untuk sub sumber daya. Secara default, nilainya adalah true. Untuk informasi selengkapnya, lihat Pilihan lanjutan dan pertimbangan API.

Alokasi cache Fielddata

Menentukan persentase ruang timbunan Java yang dialokasikan ke data bidang. Secara default, pengaturan ini adalah 20% dari timbunan JVM.

catatan

Banyak pelanggan menanyakan indeks harian yang berputar. Kami menyarankan Anda untuk memulai pengujian benchmark dengan indices.fielddata.cache.size dikonfigurasi ke 40% dari timbunan JVM untuk sebagian besar kasus penggunaan ini. Untuk indeks yang sangat besar, Anda mungkin memerlukan cache data bidang yang besar.

Jumlah klausa maks

Menentukan jumlah maksimum klausul yang diperbolehkan dalam kueri boolean Lucene. Secara default adalah 1.024. Kueri dengan lebih dari jumlah klausa yang diizinkan menghasilkan kesalahan TooManyClauses. Untuk informasi selengkapnya, lihat dokumentasi Lucene.